Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.0
»
cpSSPCore error: КриптоПро TLS. Используемый сертификат недействителен.
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.09.2008(UTC)
Сообщений: 3
|
Вот такая ошибка возникает в EventLog'е web-сервера при попытке соединиться с ним по https, при этом tcp-соединение сразу закрывается. Стоит CSP 3.0 на Windows2003 server, IIS. Сертификат получил в тестовом центре. Лицензия установлена и переустановлена несколько раз. По телефону поддержки сказали что Subject сертификата должен совпадать с полным локальным именем машины. Я удивился, но на всякий случай переименовал и машину, и название сайта, и даже rDNS, и установил новый сертификат - чтобы все имена совпадали. Ничего не изменилось, включая "после перезагрузки". В свойствах web-сайта, закладке "Directory Security", по кнопочке "View Certificate" показан вновь полученный сертификат, статус "Ок", "you have a private key", valid issuer "Test Center CRYPTO-PRO". Полная информация о событии: Код:
Event Type: Error
Event Source: cpSSPCore
Event Category: None
Event ID: 305
Date: 10.09.2008
Time: 15:33:21
User: N/A
Computer: WINSQL
Description:
КриптоПро TLS. Используемый сертификат недействителен.
Что это может быть, и как лечить, подскажите пожалуйста..
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 720 раз в 624 постах
|
Установите корневой сертификат в хранилище ROOT локального компьютера. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.09.2008(UTC)
Сообщений: 3
|
maxdm написал:Установите корневой сертификат в хранилище ROOT локального компьютера. Эээ. Что есть "хранилище ROOT"? Сертификат установлен в хранилище (container?), привязанном к машине (local computer). Пересмотрел ещё раз документацию, ROOT там упоминается в AdminWindows.pdf как имя пользователя, который должен быть администратором. Такой пользователь у нас отсутствует, ибо постоянно возникали конфликты с unix'овым root (мы в основном работаем с unix, с windows и iis столкнулись впервые). Но что-то мне подсказывает что если я создам локального root и установлю сертификат у него, то работать всё равно не будет... Но.. попробую.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.09.2008(UTC)
Сообщений: 3
|
Ок, пользователь root естественно не помог. Помогло другое - после часа google'ния (начиная с "certificate cryptopro ROOT") открыл mmc с Certificates, и перетащил сертификат "TestCenter CRYPTO-PRO" из "Intermediate Certification Authorities" (во как!) в "Trusted Root CAs". После этого cpSSPCore наконец перестал выдавать эту ошибку, и сайт таки заработал. Неужели нельзя как-то более подробно об ошибке сообщить? Отвык я от этих "error 1234xyz"... Да и собственно текущая формулировка не соответствует действительности - сертификат-то действительный... (Теперь ещё firefox на linux'е этому TestCa обучить... Но это уже проще, и совсем другая история.) Спасибо за помощь. Отредактировано пользователем 12 сентября 2008 г. 1:27:44(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Сертификат действительный для того пользователя, который его открыл - т.к. корневой сертификат находился в его хранилище корневых сертификатов.
Для IIS требудется, чтобы все, используемые им сертификаты находились в соответствующих хранилищах локального компьютера. Вы не установили туда коревой серт - сервер не может построить цепочку доверия - следовательно, считает сертификат недействительным.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.05.2009(UTC)
Сообщений: 2
Откуда: г.Смоленск
|
Demonix написал:Сертификат действительный для того пользователя, который его открыл - т.к. корневой сертификат находился в его хранилище корневых сертификатов.
Для IIS требудется, чтобы все, используемые им сертификаты находились в соответствующих хранилищах локального компьютера. Вы не установили туда коревой серт - сервер не может построить цепочку доверия - следовательно, считает сертификат недействительным. А если данная ошибка происходит не постоянно, а время от времени, то в чем может быть дело? Сертификат сервера установлен в личные компьютера, корневой и промежуточный соответственно в корневых и промежуточных хранилищах компьютера.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Если такая проблема наблюдается периодически, дело скорее всего в CRL.
Попробуйте когда возникнет проблема проделать следующее:
1. возьмите актуальный по сроку CRL
2. перенесите его на машину с IIS
3. кликните на него правой кнопкой мыши, выберите "установить спиоск отзыва - далее - поместить в следующее хранилище - обзор - показать физические хранилища - промежуточные центры сертификации - локальный компьютер", установите CRL в соответствии с указаниями мастера.
|
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.0
»
cpSSPCore error: КриптоПро TLS. Используемый сертификат недействителен.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
